来源:http://igfw.tk/archives/1274
OpenVPN比VPN更安全更先进的多,具体有哪些好处,这里不再赘述。比起之前本博介绍的SSH,OpenVPN快的丧心病狂,下面介绍如何在Debian系统搭建OpenVPN服务器端以及如何配置Windows客户端。
服务器端
1.至少拥有一台VPS或独立服务器
2.基于Openvz的VPS只能安装OpenVPN,XEN可安装PPTP,但不在本文讨论范围不再赘述
3.检验是否支持Tun/Tap和nat,以Root登陆输入
cat /dev/net/tun
若返回cat: /dev/net/tun: File descriptor in bad state 则说明tun可用输入
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
若返回iptables: No chain/target/match by that name 则说明nat模块正常可用
若以上返回信息不符请联系客服要求开通Tun/Tap和iptable nat。
4.修改服务器DNS
vi /etc/resolv.conf
修改DNS为:
nameserver 8.8.8.8
nameserver 8.8.4.4
5.本想一步步写,但经友人提醒有个VPSNOC John Malkowski的Debian OpenVPN脚本基本我下面的步骤雷同且我的教程步骤过于复杂,考虑安装方便所以放弃原教程奉上一键安装脚本。
wget http://vpsnoc.com/scripts/debian-openvpn.sh
chmod +x debian-openvpn.sh
./debian-openvpn.sh
稍等片刻,依次出现需要填写内容:
国家(两个英文字母)
省份/州(两个英文字母)
城市(英文字母)
组织名称 (英文字母)
部门名称 (英文字母)
通用名 (英文字母)
姓名 (英文字母)
邮箱密码(英文数字组合)
凭证名 (英文字母)
按两次Y后,安装完成。
安装完成后root目录下会出现一个keys.tgz压缩包,使用Tunnelier或WinSCP将压缩包下载至本地,待用。
6.生产客户端证书
cd /etc/openvpn/easy-rsa/2.0
. ./vars
./build-key user1
将user1换成期望用户名,按照步骤5中信息填写方式,完成证书生成。至此服务器安装基本完成。
Windows客户端配置
1.下载OpenVPN:http://www.openvpn.net/index.php/open-source/downloads.html 下载最新版本的Windows Installer安装包。
2.运行安装,建议win7/vista 将openvpn安装至非系统分区,如:D:\net\openvpn。按过程中会出现安装网卡驱动(型号为:TAP-WinXX Apapter V9)安全警告,确认继续。
3.修改DNS,注意:是修改新增加的这个虚拟网卡后出现的新连接,如果你不知道是哪个无所谓,把所有连接的DNS都设置成OpenDNS或者GoogleDNS吧,步骤:
Win7 https://store.opendns.com/setup/operatingsystem/windows-7
Vista https://store.opendns.com/setup/operatingsystem/windows-vista
XP https://store.opendns.com/setup/operatingsystem/windows-xp
推荐使用Google DNS :8.8.8.8和 8.8.4.4替换OpenDNS的208.67.222.222 208.67.220.220。
4.解压从服务器上down下来的keys.tgz,解压至openvpn安装目录下的config目录,如:D:\openvpn\config。
5.运行桌面上的OpenVPN GUI图标(如果是win7/vista系统请以管理员身份运行)右击右OpenVPN图标点Connect
6.稍等出现分配完成后说明链接成功。
进入http://www.dnsstuff.com 测试下吧。
配置新用户
OpenVPN一个证书只能对应一个用户,如果你想给朋友开通OpenVPN需要现在服务器上配置一个客户端证书(服务器端配置的 6.生产客户端证书),然后修改*.ovpn文件,将其证书和配置打包发给你的朋友,并教其修改连接DNS,使用OpenVPN。
下面分步骤细说:
1.按照服务器端配置的步骤 6,生成客户端新证书
2.使用Tunnelier或WinSCP前往/etc/openvpn/easy-rsa/2.0/keys并下载刚生成的新证书,如:步骤 6中输入的是
./build-key user1
那么/etc/openvpn/easy-rsa/2.0/keys文件夹下的应该会新增user1.crt,user1.key,user1.csr三 个文件,将这三个文件连同*.ovpn和ca.crt、ca.key三个文件一起下载到本地,用EditPlus或其他编辑编辑器打开下载下来 的*.ovpn文件将其中的
cert client1.crt
key client1.key
修改为:
cert user1.crt
key user1.key
保存,打包发送给你的朋友。
3.教其安装OpenVPN客户端,并解压*.opvn配置文件和证书至openvpn安装目录下的config目录中
4.教其修改DNS和使用OpenVPN。
没有评论:
发表评论